В сети появилась новая вредоносная программа MetaStealer, похищающая разнообразную конфиденциальную информацию с компьютеров macOS на базе Intel.
MetaStealer, не путать с "похитителем информации META", который был популярен в прошлом году, представляет собой вредоносную программу на базе Go, способную обходить встроенный антивирус Apple XProtect и нацеленную на бизнес-пользователей.
Компания SentinelOne сообщает, что отслеживает эту вредоносную программу в течение последних нескольких месяцев и отмечает необычное участие социальной инженерии в ее распространении.
Хотя вредоносная программа имеет некоторое сходство с Atomic Stealer, другим похитителем информации для macOS на базе Go, совпадение кода ограничено, а способы доставки отличаются.
Поэтому SentinelOne делает вывод, что MetaStealer - это отдельная операция.
Появление на системах macOS
SentinelOne обнаружила на VirusTotal образец вредоносной программы с комментарием, в котором говорится, что угрозы MetaStealer связываются с предприятиями и выдают себя за клиентов компании, чтобы распространить вредоносную программу.
"Я был атакован кем-то, выдававшим себя за заказчика дизайна, и не понял ничего необычного. Человек, с которым я вел переговоры по работе на прошлой неделе, прислал мне защищенный паролем zip-файл, содержащий этот DMG-файл, который показался мне несколько странным", - говорится в комментарии на VirusTotal.
"Вопреки здравому смыслу я смонтировал образ на свой компьютер, чтобы посмотреть его содержимое. Он содержал приложение, замаскированное под PDF, которое я не стал открывать и только тогда понял, что это мошенник".
К фишинговым письмам прилагаются файлы образов дисков, которые при монтировании в файловую систему содержат исполняемые файлы с обманчивыми именами, выдаваемые за PDF-файлы, чтобы обманом заставить жертву открыть их.
Компания SentinelOne обнаружила DMG, названные в честь программного обеспечения Adobe или работ клиентов, включая следующие:
- Рекламное техническое задание (презентация для MacOS).dmg
- Полное меню CONCEPT A3 с блюдами и переводом на английский язык.dmg
- AnimatedPoster.dmg
- Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
- AdobeOfficialBriefDescription.dmg
- Adobe Photoshop 2023 (с AI) installer.dmg
Пакеты приложений содержат самое необходимое: файл Info.plist, папку Resources с изображением иконки и папку macOS с вредоносным исполняемым файлом Mach-O.
Ни один из образцов, исследованных SentinelOne, не был подписан, несмотря на то, что некоторые версии имели идентификатор разработчика Apple.
Возможности MetaStealer
MetaStealer пытается похитить хранящуюся на скомпрометированных системах информацию, включая пароли, файлы и данные приложений, а затем пытается вывести ее через TCP-порт 3000.
В частности, вредоносная программа обладает функциями, позволяющими перехватывать связку ключей и извлекать сохраненные пароли, похищать файлы из системы, а также атаковать сервисы Telegram и Meta (Facebook).
Связка ключей - это система управления паролями на уровне системы macOS, в которой хранятся учетные данные для веб-сайтов, приложений, сетей WiFi, сертификаты, ключи шифрования, информация о кредитных картах и даже личные заметки.
Таким образом, утечка содержимого связки ключей является мощной функцией, которая может предоставить злоумышленникам доступ к конфиденциальным данным.
В своей текущей версии MetaStealer работает только на архитектуре Intel x86_64, что означает невозможность компрометации систем macOS, работающих на процессорах Apple Silicon (M1, M2), если только жертва не использует для запуска вредоносной программы программу Rosetta.
Это снижает степень угрозы и ограничивает круг потенциальных жертв, поскольку компьютеры Apple на базе Intel постепенно выходят из употребления.
Однако MetaStealer может выпустить новую версию, в которой будет добавлена встроенная поддержка Apple Silicon, так что с этой угрозой стоит быть начеку.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!